100億件ものパスワード情報がインターネット上で流出、「史上最大のパスワード漏えい」との指摘も

2024年7月4日、ハッキングフォーラム上に約100億件ものパスワード情報を含むファイルが投稿されました。セキュリティメディアのCybernewsは「史上最大のパスワード漏えい」として、今回のデータ漏えいについて報じています。

RockYou2024: 10 billion passwords leaked in the largest compilation of all time | Cybernews
https://cybernews.com/security/rockyou2024-largest-password-compilation-leak/

This is likely the biggest password leak ever: nearly 10 billion credentials exposed | Mashable
https://mashable.com/article/rockyou2024-leaked-password-database

ハッキングフォーラム上に「rockyou2024.txt」というテキストファイルが投稿され、このテキストファイルの中身を調査したCybernewsの研究者により、ファイルには99億4857万5739件もの固有のパスワード情報が含まれていることが明らかになりました。なお、「rockyou2024.txt」を投稿したのは、2024年5月下旬にアカウント登録した、「ObamaCare」というユーザーです。

同氏の投稿した「rockyou2024.txt」には、パスワード以外にも法律事務所Simmons＆Simmonsの従業員データベース、オンラインカジノ・AskGamblersのデータ、バーリントン郡にあるローワン大学の学生申請書なども含まれていました。なお、Cybernewsは今回のデータ流出をテキストファイルのファイル名にちなんで「RockYou2024」と名づけています。

Cybernewsの研究者は、既に過去にデータ漏えいした認証情報か否かを調べることができるデータと相互参照しながら「rockyou2024.txt」に含まれるパスワード情報が過去のデータ侵害により公開されたデータなのか、それとも新たにどこかから流出したデータなのかを検証したところ、過去に流出したデータと新しく流出したデータが混在していたことが明らかになりました。

Cybernewsの研究者は「本質的に、RockYou2024は世界中の個人が実際に使用しているパスワードをまとめたものです。脅威アクターのパスワードが多数公開されたことで、クレデンシャルスタッフィング攻撃のリスクが大幅に高まりました」「悪意のある攻撃者がRockYou2024のパスワード情報を悪用してブルートフォース攻撃を実行すれば、データセットに含まれるパスワードを使用する個人の利用するさまざまなオンラインアカウントに不正アクセスすることが可能となります」と言及しています。

なお、2021年にも84億件の平文のままのパスワード情報を含むテキストファイルがインターネット上で公開されており、この出来事はファイル名にちなんで「RockYou2021」と呼ばれています。Cybernewsの研究者によると、RockYou2024の作成者はRockYou2021のデータにインターネット上で新たにデータ漏えいした15億件分のパスワード情報を追加し、RockYou2024として公開したと指摘しています。

Cybernewsの研究者はこれまでにパスワードが漏えいした可能性があるすべてのアカウントのパスワードをリセットし、複数のプラットフォームでパスワードを再利用しないこと、強力で一意のパスワードを設定することを推奨しています。さらに、可能な限り多要素認証を有効にし、パスワードが漏えいしてもアカウントにアクセスできないようにすることが重要であると言及。加えて、パスワードマネージャーソフトウェアを利用することで、複数のパスワードを安全に生成・管理できるようにすることを推奨しています。